完善信息网络安全产品监管法律制度的建议
作者:李德成 (北京金诚同达律师事务所)       本站发布时间:2011-11-5 14:05:25

【作者注:本篇论文是金诚同达课题项目工作组的研究成果。李德成系工作组负责人,成员有汪涌、史学清、宋哲等。论文引用时,请注明。】

互联网已经全面深入到我国政治、文化、经济等各个领域。中国互联网产业对GDP的贡献逐年加大,创造了数以千万的就业机会,已经成为拉动中国经济增长的重要支柱之一。以腾讯、阿里巴巴、百度等为代表的中国互联网企业在国际社会已崭露头角,互联网产业也是中国与国际科技强国之间发展差距最小的领域。计算机信息网络与信息系统安全是互联网产业中很重要的领域,确保我国互联网产业健康发展和竞争优势,是国家信息安全的重要组成部分。互联网健康发展离不开计算机信息系统安全产品的有效保障。计算机信息系统安全产品监管是国家信息安全制度建设的重要内容并在逐步地完善之中。
一、计算机信息系统安全软件产品及行业发展现状
计算机信息系统安全软件是指以杀毒软件为主导的一系列维护计算机信息安全的产品。杀毒软件,也称反病毒软件或防毒软件,早期主要用于消除电脑病毒和特洛伊木马程序,后来也被用于反制恶意软件。杀毒软件通常集成监控识别、病毒扫描、病毒清除和自动升级等功能,有的杀毒软件还带有数据恢复等功能。杀毒软件与防火墙,特洛伊木马查杀程序,反恶意软件程序和反入侵预防系统等共同组成计算机防御系统,为计算机信息系统安全提供保障。国产反病毒软件厂商,如金山、江民、瑞星等对产品早期多采用“杀毒软件”这一名称,后来逐步与国际反病毒行业接轨,采用了“反病毒软件(Anti-virus Software)”或“安全防护软件(Safe-defend Software)”这一称谓。通常来讲,计算机信息系统安全分实体安全、运行安全和信息安全三个方面。信息安全,包括操作系统安全,数据库安全,网络安全,病毒防护和访问控制等方面,与杀毒软件产品的关系最为密切。
近年来,伴随着互联网应用的高速发展以及病毒、黑客入侵、恶意软件等的高发,计算机信息系统安全软件产品与行业企业间的竞争都发生了非常明显的变化。突出表现在以下几个方面:
(一)计算机信息系统安全软件产品与服务模式的多元化发展
1. 计算机信息系统安全软件产品多元化
互联网发展的早期,反病毒软件产品主要为个人用户电脑提供静态的杀毒服务。随着互联网应用的普及,病毒、网络黑客、木马软件等日益猖獗,反病毒软件厂商不断推出适应互联网安全需求的产品,比如,近年来陆续推出的网络安全卫士产品、集成了防火墙的“互联网安全套装”、“全功能安全套装”产品,“隐私保护器”、“手机卫士”(移动互联网安全产品)、“密盘”、“保险箱”等等,互联网安全防护产品已经成为反病毒软件厂商的核心产品,病毒查杀等实时安全防护也成了计算机信息系统安全产品必备功能之一。对这类软件,也有人称之为“泛安全软件”或“安全辅助软件”。客观上,这种称谓并不合适,这类软件是传统反病毒软件在互联网环境下的发展,只是具备或增加了诸如网络防火墙、网络黑客攻击等功能。
2. 计算机信息系统安全软件产品更新迅速
传统反病毒软件产品往往是定期升级,而目前安全防护产品(无论是产品,还是病毒库)升级更新速度很快,多则1、2个月,少则几天,甚至实时更新,远远超过了以往以年为单位的更新周期。安全软件产品的迅速更新,为新技术的应用提供了更大的发展空间,也大大增加了对从业主体行为予以规范的难度。互联网应用的快速发展促成产业盈利模式的多元化,反病毒行业出现了“免费服务”的商业模式。不过“免费”只是一种表象,因为免费厂商必须有其他收费业务做支撑,否则也难以为继。但应当注意的是,免费服务模式的出现对收费安全防护服务及其收费模式产生了强烈的冲击。在失去相对固定的利润来源后,对增值服务客户市场的追求成为部分安全软件企业恶意竞争的动力。
3. 安全产品服务模式多元化
传统反病毒软件产品给用户提供的安全防护,主要是通过客户端软件实现,反病毒软件产品本身就带有病毒库。随着病毒、木马等数量的飞速增长,客户端与病毒库定期更新已不能满足网络用户安全保护的需要。目前反病毒软件服务模式也转变为“服务器+客户端”的方式。客户端软件功能只是安全产品的一个组成部分,病毒查杀等安全行为通过安全厂商的服务端操作完成。这种服务模式对监管提出了更高的要求。因为虽然安全产品的客户端软件通过检测机构的检测不存在恶意代码,但是安全软件企业可以通过服务器端向客户端发送指令。如果该指令是恶意的、破坏性的,则会产生非常严重的不利后果,所以监管的对象不仅包含客户端软件,还应当包括安全产品的系统。而安全产品的系统又是动态的,以事先检测作为对安全产品系统的主要监管方式难以实现科学、及时和有效的监管目的。因此,对安全软件企业等经营主体设定准入制度,并对进行资质进行审核非常必要,比如设置资金、技术、及操作规范、流程的门槛,将企业诚信经营、行业声誉作为核准的参考条件等。
4.新型“云安全技术”的应用
新的网络技术(云技术)的逐步应用于计算机信息系统安全保护。“云安全技术(Cloud Security)”是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到后台服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。“云安全技术”识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。反之,如果“云安全”的参与者都接收到服务器端发出的恶意指令或者破坏性指令,对互联网的威胁也就越大,加上数以亿计的客户端及其辐射的社会关系,具备了危害国家安全的能力。如果监管与控制不得力,“云安全”可能会变为“云恐怖”。目前,瑞星、趋势、卡巴斯基、MCAFEE、SYMANTEC、金山、奇虎360等都推出了“云安全”解决方案。总的来说,“云安全”是防病毒软件的最新发展趋势,因此对云技术的监管刻不容缓。
(二)计算机信息系统安全软件行业恶性竞争日益加剧,严重危害了国家信息安全,损害了用户利益,破坏了产业的良性发展秩序
1. 安全软件厂商间的恶性竞争事件不断发生
特别是2010年以来,我国互联网安全产品企业之间的竞争异常激烈,罔顾法律、甚至背弃商业道德恶意攻击竞争对手的事件不断发生。其中较具代表性的事件有:2010年1月,北京奇虎科技有限公司(简称“奇虎公司”)与北京瑞星信息技术有限公司之间的软件“后门”事件。2010年5月,奇虎公司声称北京金山安全软件有限公司(简称“金山公司”)的金山网盾存在“高危漏洞”强制用户卸载金山网盾以及恶意干扰金山安全产品运行事件。2010年9月,奇虎公司指责深圳腾讯计算机科技公司(简称“腾讯公司”)QQ安全模块“窥私”以及由此引发的“3Q大战”公共事件。
2. 恶性竞争手段常态化趋势
近期发生的恶性竞争事件中,个别安全厂商公司经常使用非法手段,恶意打击竞争对手。惯用手段主要有:(1)以维护用户安全之名,恶意对竞争对手产品进行定性、评级,贬损竞争对手商业信誉与产品声誉;(2)非法干扰屏蔽、强行卸载竞争对手产品、服务;(3)限制用户选择竞争对手安全产品。
3. 恶意竞争手段变得隐蔽
例如,某安全厂商公司在其网站上对某软件产品做“是否是恶意软件”的评分,并自称评价来自于网民。事实上,当被评软件产品的企业与该安全厂商合作时,其软件就会被评价为安全软件。但是,如果不存在合作关系或解除合作关系后,有关软件产品就会被评价为恶意软件。
4. 新技术被用于恶性竞争
令整个行业堪忧的是,在今年发生的恶性竞争事件中,奇虎公司利用最新的“360云安全技术”通过其后端服务器发出指令封杀竞争对手的产品。该技术在封杀可牛网络技术(北京)有限公司(“可牛公司”)刚刚推出的杀毒产品事件以及3Q弹窗大战中均有使用。
综上,部分安全厂商以维护用户安全之名,恶意对竞争对手商品进行定性、评级,贬损竞争对手安全产品声誉,还使用技术手段甚至是“云计算”技术恶意干扰屏蔽、强行卸载或竞争对手产品、服务,限制用户选择竞争对手的安全产品甚至是竞争对手的其他产品或功能插件。这些恶性行为直接导致的后果是,即竞争对手安全产品是否安全、能不能在用户的电脑上安装运行,完全由软件装机量大的企业说了算。以至于某安全厂商都直接把自己描述为网络110——网络警察。在这种持续不断的、丛林法则式的恶性竞争中,互联网产业的公平、公正的良性发展秩序已经受到严重破坏,整个互联网产业的创新、发展也受到了严重阻碍。
众所周知,反病毒软件处于计算机应用系统的最底层,其不仅可以监控用户电脑中软件的启动、运行,还可以监控到用户的各项操作行为。如果这项技术得不到有效监管,就很有可能被恶意厂商非法应用。比如个别企业对竞争对手产品实施的云暗杀;比如通过云技术窃取用户或企业的保密信息,篡改用户计算机系统、企业网络系统;比如通过云端指令发布、传播侵害竞争对手利益、侵害用户计算机系统安全、侵害国家信息安全甚至国家安全的信息或病毒等。受到损害的将不仅仅是用户利益和其他厂商的合法权益,我国互联网信息安全也必然会受到严重危害。
二、互联网应用技术的快速发展与计算机信息系统安全产业竞争的加剧,彰显立法和相关制度的缺失
(一)计算机信息系统安全软件产品监管法规滞后
目前,与计算机信息系统安全有关的行政法规只有国务院在1994年颁布的《计算机信息系统安全保护条例》。1997年公安部依据该条例制定《计算机信息系统安全专用产品检测和销售许可证管理办法》。2009年工业与信息化产业部颁布《软件产品管理办法》。《计算机信息系统安全保护条例》原则性授权有关部门制定互联网安全产品监管规范,并未就如何监管做出实质性规定。《软件产品管理办法》虽然提及了软件的检测标准,但只是从鼓励软件产业发展的角度制定的具体规范。实质上,监管防病毒产品的规范只有公安部的《计算机信息系统安全专用产品检测和销售许可证管理办法》。该管理办法颁布于10多年前,对计算机信息系统安全产品采取的是静态监管的方式,即安全产品在销售之前需要进行检测,但目前安全产品的升级、更新周期非常短暂,且大都通过互联网直接发售,并且很多企业都陆续推出了“云安全”技术。客观上,安全厂商已将重心从“产品”转向了“服务”,这种业务模式的变化使得安全厂商近乎完全脱离了原来的监管体系,静态的监管方式已根本无法满足对安全服务的全面动态监督需求。
(二)计算机信息系统安全产品缺乏分级管理制度
国际上对计算机信息系统安全产品多实行分级管理和分类指导的准入和监管制度。我国仅确立了国家对计算机信息系统安全专用产品的销售实行许可证制度,但与计算机信息系统安全产品有关的分级管理体系在我国没有形成,在实践中对不同层次的安全产品也没有有效的评测标准、相应监管手段和约束机制。这就造成了目前计算机信息系统安全产品鱼龙混杂的现状,不同等级、不同功能、良莠不齐的产品同台竞争。既不能引导消费者正确选用适当的计算机信息系统安全产品,也不能规范安全产品厂商间的竞争行为,势必会导致“劣币驱逐良币”的后果。长此以往,优质的企业势必不敢在产品研发上加大投入,最终的恶果就是将我国互联网信息系统安全产品与服务市场拱手让给外国厂商,将我国的互联网信息安全拱手交给外国公司来保护。
(三)相关制度的缺失致使政府监管明显缺位,所谓的监管也只是流于形式
在前述几起严重危害国家信息安全和恶性竞争事件中,政府监管层面的介入完全是消极被动的,介入调查也只停留在非实质性的表态上。导致的后果是个别厂商仍然可以肆意忌惮地对其他厂商的安全产品进行恶意的定性、评级和贬损。所以,继奇虎公司打击金山公司、可牛公司后不久爆发的“3Q大战”并非偶然。如果这种状况不能及时有效地被遏制,将会引发更为严重的社会公共事件。
“3Q大战”持续了长达一个月的时间里,没有任何相关政府部门出来对双方的行为进行约束和监管。直至演变成一场公共事件,工业与信息化产业部才根据国务院领导指示介入此事进行调查,最后给出了一个各打五十大板的处罚结果。尽管奇虎公司和腾讯公司也接受了该处罚结果,但应该看到,根据工信部的职责(根据“三定方案”——2008年通过的国务院机构改革方案与《国务院关于机构设置的通知》划定),工信部出面查处此事并不合适。客观上,由于此事件涉及到商业诋毁、恶意攻击等不正当竞争以及破坏计算机系统安全等行为,最应当介入的是工商部门(查处不正当竞争行为)和公安部(查处破坏计算机系统行为)以及版权行政管理部门(查处版权违法行为)。但在事件发生后,恰恰是应当出面的部门集体失声。这足以反映出监管部门对所负职责的回避以及对互联网安全产品行业监管的失序。
同时,应当引起进一步思考的是,“3Q大战”虽然由不正当竞争引发,但也引发了社会公众对网络通讯安全的强烈关注。这是一个更大的问题,也即是腾讯公司的IM(及时通讯服务)该如何定性(对该问题的认识或许是工信部最终介入的理由之一)。依据目前的《电信条例》,通讯服务包括基础电信业务与增值电信业务,虽然互联网信息服务被列入《电信业务分类目录》。但即时通讯(IM)服务是否属于电信业务,属于哪一种电信业务却没有明确。在这一问题上,未来的立法政策走向会存在两种可能:一种是仍将即时通讯排除在电信服务之外,仅作为一般性的增值服务。这种情况下,目前的即时通讯服务市场监管不会发生大的变化;另一种是将之列入基础电信业务范围,这就会对即时通讯厂商造成很大的冲击,比如资本性质、外资准入、业务限制以及互联互通等等,对监管也提出了更高的要求。
(四)规范竞争秩序的法律制度难以适应互联网安全产业快速发展的需要,亟待进行完善
目前,规范计算机信息系统安全产品服务行业间权利保护与市场竞争的法律主要包括:《著作权法》、《计算机软件保护条例》和《反不正当竞争法》。虽然前述某安全厂商捏造、散布对其他企业产品的虚假评价信息,属于不正当竞争行为,但《反不正当竞争法》——这部制定于上世纪九十年度初的法律已不能满足规范引导互联网企业有序竞争的需要。
一方面,该法缺乏对恶性竞争行为的诉前约束机制;另一方面,该法对恶性竞争行为的行政处罚机制形同虚设;再者,该法对恶性竞争者的民事法律责任规定过轻。从2006年开始即有包括百度、yahoo、金山等厂商在内的企业通过法律手段制止奇虎公司的不正当竞争行为,奇虎公司虽然屡屡败诉,但个案的赔偿额度鲜有超过50万的情形。然而,通过上述不正当竞争行为,奇虎公司不但达到了有效打击竞争对手的非法目的,而且其市场份额也得以急剧扩大、年收入也在以千万计地迅速增长。不难看出,奇虎公司的违法收益与违法成本显然不成比例。
此外,司法诉讼冗长的诉讼周期导致恶意竞争行为不能通过司法途径及时得到制止,这也是业界呼吁政府介入监管的重要原因。这些制度缺陷也正是奇虎公司敢于屡屡挑战法律制度并且乐在其中的根本原因之所在。
(五)互联网信息安全立法缺位
计算机信息系统和互联网只是传统违法或犯罪行为得以实施的新的手段和方式,惩处这些违法、犯罪行为已经成为维护安全的迫切需要。目前,我国相关法律法规对信息资源安全作了规定,针对传统的违法行为或犯罪行为也延伸到了信息网络领域。但是,针对网络新技术环下的信息安全保护方面的专门法律规范尚未出台。2010年3月的十一届全国人大三次会议期间,有92名人大代表在3个议案中提出,当前,网络信息安全问题日益突出,通过网络破坏信息系统,传播淫秽、色情、赌博、暴力等信息,窃取信息、名誉侵权等行为屡禁不止,严重扰乱社会秩序,影响国家信息安全,建议制定加快信息安全立法。据了解工业和信息化部已完成的《信息安全条例(报送稿)》对信息网络环境下法律主体的权利、义务,各种危害网络与信息系统安全行为,网络科技创新,加强国际兼容等内容作了规定。不过,该报送稿还需要在计算机信息系统安全方面做出更为明确和具体的规定。
三、为了维护产业健康发展与信息安全,亟待对现行法律制度进行完善,健全对安全产品的监管
必须看到,目前发生在互联网安全行业的监管缺陷以及逐步恶化的恶性竞争态势,损害的已不只是个别企业的利益,如果任由其蔓延,这种终将摧毁中国计算机信息系统与互联网安全行业乃至整个互联网行业生存的基础环境,使得整个互联网行业的发展秩序变得更为混乱,良好的制度环境与商业文明也无法形成发展。
有鉴于此,国家有关部门的及时介入,监管制度的完善,监督力度的加大,以及加大对个别企业恶性竞争行为的打击力度显得非常必要。此外,还应加快制定信息安全法律及配套制度,尽快完善反不正当竞争法律制度,健全行政监督机制,并积极引导建立行业自律等,为中国互联网产业的健康发展创造一个良好的政商环境。具体建议如下:
(一)针对工商行政管理部门的建议
1. 依法查处违法行为
建议主动履行部门职责,及时对个别安全产品厂商无视法律规定肆意妄为的恶意竞争行为进行调查和严厉处罚,校正恢复正常的市场竞争秩序,维护行业健康发展。
2. 梳理新型不正当竞争行为
建议主动对新型不正当竞争行为进行总结梳理,做好立法、修法储备工作,为反不正当竞争制度的完善提供支持。比如安全软件企业及其关联单位同时从事应用软件服务的,恶意竞争的情况就特别容易发生。为此建议在制度上做出如下完善:
(1)安全软件企业不得利用其提供计算机信息系统安全服务的便利,对应用软件或其他互联网产品进行不必要的评判,或恶意的评价。
(2)禁止安全软件企业利用计算机信息系统安全服务的技术措施或便利,对应用软件或其他互联网产品进行不当地限制、恶意的干扰和错误的影响。
(3)安全软件企业对应用软件或其他互联网产品进行评判或评价的,或者有证证据证明因其行为致使其他应用软件、互联网产品无法正常使用的,安全软件企业应当就其所做出的评判、评价和所实施行为的必要性、正当性与合法性负有举证责任。
3.建立诚信公示制度
建议建立企业诚信经营档案系统以及诚信信息的公示制度;建议积极配合相关部门做好计算机信息系统安全产品行业的市场准入管理。比如工商行政管理机关建立计算机信息系统安全产品行业的企业诚信经营与行业声誉等信息管理机制,与公安部系统进行必要的衔接,为计算机信息系统安全产品行业的市场准入许可,提供参考条件,为安全软件企业与从业人员市场退出机制的建立完善提供支撑。
(二)针对公安部的建议
1.完善产品的检测与管理机制
根据法律法规或有关授权规定,尽快完善计算机信息系统安全产品/服务、互联网安全产品/服务的管理规范,主要包括安全产品/服务的技术评测、评级机制,安全产品/服务的分类登记备案机制,安全产品/服务的重要信息披露机制,与信息安全密切相关的信息沟通机制,安全产品代码的管理机制等。
2.建立安全产品源代码备案制度
尽快建立安全产品源代码备案制度,设立专门监管委员会,负责安全产品信息(包括缺陷、漏洞等)、云查杀服务的病毒库、服务器指令的记录、披露,加强安全产品/服务的透明化和公平性;
3. 建立行业管理规范与处理机制
尽快建立计算机信息系统安全产品/服务行业管理规范,主要包括建立安全厂商间纠纷的快速处理机制,安全厂商诚信档案与公示机制,加大对安全产品/服务的日常监督以及违法行为的行政处罚力度等。
(三)针对立法部门的建议
1. 建立计算机信息系统安全行业市场准入许可制度
建议从法律或行政法规层面尽快制定计算机信息系统安全行业的市场准入规范。明确行业准入条件、程序、有关限制以及禁止性规范,行业人员的从业资质等。对于出现违法、犯罪或违反行业规范等不良记录的企业、高级管理人员实行从业限制或禁止。同时,还需从立法层面明确规定行业的主管部门,协调安排部门监管职责,企业的日常监管规范以及安全产品/服务许可规范等;
2. 尽快完成《反不正当竞争法》的修订
主要包括修订第二条与第六条的规定,进一步细化损害竞争对手的不正当竞争行为,明确将捏造、散布虚伪事实,损害竞争对手的商业信誉、商品声誉行为类型化,并进一步明确并加重相关行为的行政责任(该法第四章);增加规定受害者可以对不正当竞争行为实施者申请诉前与诉中禁令;明确规定(并加重)不正当竞争行为的民事赔偿责任(主要是赔偿数额);明确监督检查部门在监督检查不正当竞争行为时的职权范围等(该法第三章)。
3. 尽快制定《信息安全法》或者《信息安全条例》
细化信息资源(内容)安全方面条文内容,比如明确存储、运行在计算机信息系统和网络上的信息资源安全的系列行为规范与法律责任。
4. 尽快修订《计算机信息系统安全保护条例》
明确计算机信息系统安全产品和服务的提供者行为规范,加大对违法行为的处罚力度增加违法成本,引入市场退出机制。明确规定尊重用户的选择权与知情权,未经用户同意不得干扰、屏蔽、阻碍、卸载用户的计算信息系统安全产品,不得采取任何不正当的手段危害用户的计算机信息系统安全。
5. 尽快修订《中华人民共和国治安管理处罚法》
通过修订《中华人民共和国治安管理处罚法》完善扰乱公共秩序的行为和处罚的相关规定。比如,在第二十九条中增加如下内容为第(五)项:违反国家规定干扰、屏蔽、阻碍、卸载用户的计算信息系统安全产品,影响计算机用户的信息系统安全的。

( 说明:文中的观点或信息与本网站主办单位无关)